1、安装环境主要硬件:ProLiant DL365 G12200MHZ*21024MB667MHZ * 4主要软件:Windows Server 2003 + Sp2 MS SQL 2000 + Sp4相关软件及下载地址:Apache_2.2.6-win32-x86 http:/httpd.apache.orgPhp-5.2.4-Win32 http:/ http:/www.snort.org/dl/binaries/win32/WinPcap_4_0_1 http:/winpcap.polito.it/base-1.3.8 http:/ http:/www.aditus.nu/jpgraph/j
2、pdownload.phpphp5.2-win32-200710150430 http:/ oinkmaster-2.0 http:/ PATH listingVolume serial number is 0006EE50 9C9B:B24BD:.+-adodb+-apache_D:win-idsapachehtdocsbase+-eventwatchnt+-oinkmaster+-perl+-php+-snort1 安装 apache1.1: 设置 server information,根据自己的实际情况进行修改SI“For all user on port 80”1.2 安装路径d:wi
3、n-idsapache完毕后应该可以看到 apache在系统托盘上的图标了,在浏览器中打开 http:/127.0.0.1 看是否有成功页面的提示?1.3 编辑 d:win-idsapacheconfhttpd.conf1.3.1注意,此步在 2.3和 2.4 之间进行时操作。因为我们所选择的软件均为当前最新版本。而 apache2.2.6与 php5.2.4是有点小问题的。解决方法: 用下载的 php5.2-win32-200710150430中的 php5apache2_2.dll文件替换掉 php目录下的同名文件,并将 httpd.conf里面的 php5apache2.dll改为 ph
4、p5apache2_2.dll,即下一条。1.3.2在文件头插入以下三行:LoadModule php5_module “d:/win-ids/php/php5apache2_2.dll“ AddType application/x-httpd-php .php PHPIniDir “d:/win-ids/php“1.3.3搜索 original内容,并变更为 change内容Original: Order allow,deny Change: Order deny,allow Original: Allow from all Change: Deny from all 1.3.4在“deny
5、 from all”之后插入两行:Allow from 127.0.0.1 DirectoryIndex index.html index.php2 安装 php2.1 解压路径d:win-idsphp2.2 拷贝文件copy d:win-idsphpntwdblib.dll c:windowssystem32copy d:win-idsphpphp.ini-dist d:win-idsphpphp.ini2.3 编辑配置文件 d:win-idsphpphp.ini2.3.1搜索 original内容,并变更为 change内容Original: max_execution_time = 30
6、 Change: max_execution_time = 60 Original: display_errors = On Change: display_errors = Off Original: extension_dir = “./“ Change: extension_dir = “d:win-idsphpext“ Original: ; extension=php_gd2.dll Change: extension=php_gd2.dllOriginal: ; extension=php_mssql.dll Change: extension=php_mssql.dll Orig
7、inal: ; file_uploads = onChange:file_uploads = offOriginal: ; session.save_path = “/tmp“ Change: session.save_path = “c:windowstemp“2.3.2 进行 1.3.1 操作2.4 测试 apache 与 php将下面一行代码保存为 info.php,并放在 D:win-idsapachehtdocs 目录下在浏览器中打开 http:/127.0.0.1/ info.php 看是否能正常显示服务器的相关信息?3 安装 pearPear插件的安装脚本默认包含在 PHP的主目
8、录下,运行 go-pear.bat对 pear安装选项进行配置,安装前需要保证 Internet连接正常。设置好安装目录就会自动下载安装所需内容(默认不用修改),完成安装后,还需要通过 Pear安装图表支持的插件。在 CMD中进入 pear.bat所在目录,这里就是 D:win-idsphp。运行下面命令:pear install image_colorpear install image_canvas-alphapear install image_graph-alphapear list (检查当前 pear 安装情况,是否已经安装好了以上几个关键文件)4 安装 adodbADODB是用于
9、 PHP的数据库连接插件,因为它是基于 php的,所以只需要将软件包复制到 WEB发布目录下,即:D:win-idsapachehtdocsadodb,后面在配置 BASE时会需要设定这个目录进行调用5 配置 mssql5.1 创建两个新数据:snort,archive。注意设置数据库文件的保存路径。尽量是单独大分区5.2 创建两个新帐户:snort,base。Snort:验证方式:sql server authentication帐户密码:xxx帐户角色:system administrators数据库访问:snort/publicBase:验证方式:sql server authentic
10、ation帐户密码:yyy帐户角色:system administrators数据库访问:archive/public5.3 选中 snort数据库,设置属性,访问权限,public 一行,选中所有复选框5.4 在查询分析器中执行以下脚本5.4.1注意选择数据库对象是 snortd:win-idssnortschemascreate_mssql5.4.2 注意选择数据库对象是 archive脚本内容同上6 安装 base6.1复制解压后的 BASE软件包至 WEB发布目录:D:win-idsapachehtdocsbase 。在浏览器中输入 http:/127.0.0.1/base/setup
11、/进行初始配置。BASE 支持多国语言其中也包括简体中文,但似乎目前中文支持还不是很完善,为确保系统稳定还是选择英文。然后输入 adodb组件的安装目录,BASE会对它进行调用。输入上一步设置好的数据库相关信息。数据库名称,帐户,密码6.2 设置 BASE的用户认证与管理员账号信息设置低权限的浏览帐户和高级别的管理帐户7安装 activeperl可以完全默认安装。只是为了保持软件的整体一致,所以安装路径为 D:win-idsperl,其它默认。8 安装 wincap可以完全默认安装。9 安装 snort 9.1 注意选择 “I need support for logging to Micro
12、soft SQL Server”9.2 安装路径 d:win-idssnort9.3 编辑配置文件 d:win-idssnortetcsnort.conf9.3.1 监控范围:Original: var HOME_NET any 9.3.2 搜索 original内容,并变更为 change内容Original: var RULE_PATH /rules Change: var RULE_PATH d:win-idssnortrulesOriginal: #dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocesso
13、r/Change:dynamicpreprocessor directory d:win-idssnort libsnort_dynamicpreprocessorOriginal: #dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.soChange:dynamicengine d:win-idssnort libsnort_dynamicenginesf_engine.dllOriginal: # # output database: log, mssql, dbname=snort user=snort passw
14、ord=test Change: output database: log, mssql, dbname=snort user=snort password=xxx Original: include classification.config Change: include d:win-idssnortetcclassification.config Original: include reference.config Change: include d:win-idssnortetcreference.config Original: # output alert_syslog: LOG_
15、AUTH LOG_ALERT Change: output alert_syslog: LOG_AUTH LOG_ALERT在# output log_tcpdump: tcpdump.log 行之后插入行output alert_fast: alert.ids9.3.3 测试 snort#查看系统网卡D:win-idssnortbinsnort -W1 DeviceNPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)2 DeviceNPF_F90981E5-83ED-42A8-928A-33A3E7F474
16、91 (Broadcom L2 NDIS client driver)3 DeviceNPF_4381735C-B9B1-469D-9AE8-A95C46B39B5A (Broadcom L2 NDIS client driver)snort监听网卡 2,如果网卡多可以先禁用一个?两个?来测试D:win-idssnortbinsnort -v -i2Not Using PCAP_FRAMES10/18-09:15:22.098372 ARP who-has 192.168.0.118 tell 192.168.0.25310/18-09:15:22.110477 ARP who-has 192
17、.168.0.13 tell 192.168.0.25310/18-09:15:22.196358 ARP who-has 192.168.0.70 tell 192.168.0.72如果能够得到像上面的数据信息,说明安装好了#继续测试,因为要安装为服务,先测试一下安装服务前的命令行参数都是否正确。D:win-idssnortbinsnort -c d:win-idssnortetcsnort.conf -i 2 -l d:win-idssnortlog -d -ePreprocessor Object: SF_DCERPC Version 1.0 Not Using PCAP_FRAMES如
18、果是上面的结果,说明基本没有问题了#将 snort安装为系统服务D:win-idssnortbinsnort /SERVICE /INSTALL -c d:win-idssnortetcsnort.conf -i 3 -l d:win-idssnortlog -d -eSNORT_SERVICE Successfully added the Snort service to the Services database.如果看到上面的提示说明是成功的。change the services startup type to automatic!#此时安装的 snort服务为手工启动模式,我们可以在
19、 services.msc中来设置 snort的启动方式为自启动模式#如果过程有测试改变了 snort.conf配置的时候,重新启动 snort服务来进行重新加载配置load the new snort.conf:D:win-idssnortbinnet stop snortsvcD:win-idssnortbinnet start snortsvc#如果命令行有误,或服务有问题,可以删除 snort服务D:win-idssnortbinsc delete snortsvc#有一个小问题:在禁用了网卡后再启用的时候,snort W 下的编号不一定还相同!question:when a conn
20、ection status is turn abled.the interface number is also changed!1 DeviceNPF_GenericDialupAdapter (Adapter for generic dialup and VPN capture)2 DeviceNPF_4381735C-B9B1-469D-9AE8-A95C46B39B5A (Broadcom L2 NDIS client driver)D:win-idssnortbinsnort -W1 DeviceNPF_GenericDialupAdapter (Adapter for generi
21、c dialup and VPN capture)2 DeviceNPF_F90981E5-83ED-42A8-928A-33A3E7F47491 (Broadcom L2 NDIS client driver)3 DeviceNPF_4381735C-B9B1-469D-9AE8-A95C46B39B5A (Broadcom L2 NDIS client driver)ping xxxx t 来测试一下 或者扫描一下现在可以用浏览器访问 http:/127.0.0.1/base/ 就可以实时查看结果了 .10安装 oinkmaster10.1解压 oinkmaster到 d:win-ids1
22、0.2 运行 d:win-idsoinkmastercontrib oinkgui.pl10.3 配置 oinkmaster配置页 equired files and directories d:win-idsoinkmasteroinkmaster.pld:win-idsoinkmasteroinkmaster.confd:win-idssnortrules配置页 Optional files and directorieshttp:/www.snort.org/dl/rules/snortrules-snapshot-CURRENT.tar.gzd:win-idssnortetcsnort
23、.confd:win-idssnorttempC:Program FilesWindows NTAccessorieswordpad.exe在命令行 CMD下,执行以下命令Ppminstall IO-Zlibquitexit配置完毕,参考文章上说有 Test configuration 菜单,但是我没有看到但是可以用 Update rules 菜单来代替,直接看升级效果是否正常。每次升级 rules成功后,都需要 snort服务重新启动一次。加载最新的规则库11安装 eventwatchnt此项需要有 SMTP服务器供 IDS使用11.1 twatchnt解压 d:win-idseventwa
24、tchnt11.2 运行 entwatchnt.exe11.3 配置Sender Name: IDSSender Email Address: Recipients: SMPT Server:Email Subject: xx级别报警Filter(s): Priority: 1Type: IncludeEvent logs to monitor: ApplicationEvents to report: INFORMATIONOptions: HTML EmailInstallation: InstallService Control: StartOK配置的时候,上面有个“测试”,可以测试邮件
25、 SMTP收发是否正常。此时测试的时候可以看 eventvwr.msc 中是否有相应的 警告 information出现。如果有,看是否收到报警 mail。12 规则库最新的 规则可以在下面这个地址下载:http:/ email报警的 IDS搭建好了。过程中,没有出现在 Windows环境下建立 Snort+BASE入侵检测系统中的 base1.3.8的代码有问题。也不能用上面的 snort参数安装系统服务,系统日志里一直报错。也不能完全按照Installing a complete IDS using the Apache Webserver的设置,snort.conf 那段就会出问题。上面的问题的排查都花了一定的时间参考文档:在 Windows环境下建立 Snort+BASE入侵检测系统http:/ 安装指南(Windows2003 平台)http:/ a complete IDS using the Apache Webserverhttp:/
